Cybercrime – recht op zijn scherpst

Auteurs: Jan Kerkhofs en Philippe Van Linthout

Cybersecurity wordt steeds belangrijker voor risicomanagement alsook voor BCM. De BCM organisaties leggen almaar meer nadruk op het opnemen van cyberveiligheid in hun gamma. Veelal gaat dit om technische aspecten van cybersecurity en hoe technisch een cyberaanval kan worden afgeslagen. Velen vergeten echter dat er een juridisch plaatje vasthangt aan cybersecurity. Wat kan er juridisch en wat niet? De auteurs zochten het uit en publiceerden een boek dat up-to-date was tot en met 1/dec/2013. Het gaat over juridische aspecten en een deel van het boek is geïllustreerd adhv een casus waarin YAHOO! betrokken was. Of hoe een wetgeving kan geïnterpreteerd worden.

Het volgende bleef bij:

  • Criminelen van nu hebben hun werkwijzen veranderd: ze hebben niet allemaal een revolver, maar wel een smartphone.
  • Cyberspace is voor criminaliteit een ongelofelijk braakliggend terrein met (nog steeds) ongekende mogelijkheden die kunnen geperfectioneerd worden.
  • Wellicht dringt Cyberspace zich op als een apart juridisch territorium. Want daar zijn geen landsgrenzen zichtbaar.
  • Misdaden bestaan uit (niet limitatieve lijst) o.a.:
    • Illegale transferts van data of fondsen etc
    • Vervalsing
    • Hinderen van computersystemen en telecommunicatiesystemen
    • Misbruik van beschermde software
    • Onderscheppen van berichten
    • Fraude
    • Schade aan hardware, software of data
    • Sabotage
    • Oneigenlijke toegang
    • Plagiaat
  • De evolutie van ICT gaat steeds te snel voor de wetgever.

Deel 1 van het boek gaat over materieel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het is economische wetgeving.
  • Er is een afzonderlijke strafbaarstelling voor het opzettelijk vermommen van de waarheid via datamanipulatie mbt juridisch relevante data.
  • Er dient iets ingevoerd, gewijzigd, gewist of veranderd te worden om te spreken van een misdrijf van informaticavalsheid. Omissiedelicten zijn echter ook mogelijk.
  • Men spreekt van informaticavalsheid indien er het oogmerk aanwezig was om te schaden of indien er bedrieglijk opzet was.
  • Indien iemand wetens en willens gegevens gebruikt waarvan hij weet dat ze vals zijn, is strafbaar alsof hij de dader van de valsheid was. Een mislukte poging is niet strafbaar.
  • Een poging is wel strafbaar indien economisch voordeel beoogd wordt met het plegen van informaticabedrog. (Dit is niet hetzelfde als valsheid in informatica waar het in hoofdzaak gaat om het vermommen van de waarheid.)
  • Naast valsheid in informatica en informaticabedrog bestaat er ook het begrip van ongeoorloofde manipulaties ten aanzien van een machine. Bijv. computerfraude.
  • Het strafwetboek hecht veel belang aan misdrijven tegen confidentialiteit, integriteit en beschikbaarheid, begrippen die niet toevallig terugkomen in ISO 2700x. Een van de gevolgen is dat er onderscheid gemaakt wordt tussen externe en interne hacking.
  • Niet alleen het feitelijke hacken is strafbaar, maar ook een aantal verwante zaken, zoals het ter beschikking hebben van hackertools, aanzetten tot hacking etc.
  • Er bestaat eveneens informaticasabotage: het invoeren, wijzigen of wissen van gegevens of hun normale aanwending veranderen door enig technologisch middel. Bijv.: een virus.
  • Opvallend is dat straffen voor een overheidsvertegenwoordiger bij illegale communicatie-interceptie bij de uitoefening van zijn bediening zwaarder zijn dan daarbuiten of door een burger.
  • Niet alleen de uitvoerder van een illegale tap is strafbaar, maar ook de heler van de illegaal gecapteerde data.
  • Cyberstrafrecht bevat ook regels betreffende elektronische communicatie. Het gaat om het gebruik van 1) een elektronisch netwerk, 2) of een elektronische communicatiedienst of 3) andere elektronische communicatiemiddelen waarmee het misdrijf zal kunnen gepleegd worden. Dit laatste dekt een zeer breed instrumentarium. Het vaakst wordt dit aspect van cyberstrafrecht gebruikt voor overlast. Schade, waaronder psychologische schade, is ook mogelijk.
  • Digitale verspreiding wordt gelijkgesteld met vermenigvuldiging via een drukpers.
  • Gebruik maken van gegevens van elektronische communicatie, zonder toestemming van alle communicerende partijen, is strafbaar.
  • Er bestaat zoiets als een informatiemaatschappij, waarbij ISP’s (Internet Service Providers) en IAP’s (Internet Access Providers) een belangrijke rol spelen. Deze dienstverleners hebben geen algemene toezichtsverplichting, maar kunnen in een specifiek geval wel een tijdelijke toezichtsverplichting opgelegd krijgen. Bij vermeend misbruik dienen zij echter wel de administritatieve autoriteiten onverwijld op de hoogte brengen. Tevens meten zij op vraag van de autoriteiten alle informatie verschaffen die nuttig is voor de opsporing en vaststelling van inbreuken gepleegd door hun tussenkomst.

Deel 2 van het boek gaat over procedureel cyberstrafrecht. Daarvan bleven als belangrijkste zaken bij:

  • Het gaat om het procedure-instrumentarium waarmee cybercriminaliteit kan bestreden worden.
  • Wapens waarover de internetrecherche in het opsporingsonderzoek beschikt:
    • Databeslag als bewijslast.
    • Beslag en het uitlezen van een GSM of smartphone.
    • Kopiëren van data op dragers van de overheid zonder verlies van bewijslast.
    • Kennisgeving van het beslag of de kopiëring van gegevens.
    • Het ontoegankelijk maken van het internet of delen ervan. Bijv. in het kader van negationisme of of aanzetten tot racisme of xenophobie enz.
    • Reverse IP domain check.
    • Identificatie van internauten met medewerking van ISP’s en IAP’s en operatoren en dienstverstrekkers.
    • Een officier van de gerechtelijke politie kan in geval van hoogdringendheid binnen bepaalde spelregels zelf gegevens opvorderen.
    • Er is de wettelijke verplichting tot medewerking en geheimhouding door operatoren van elektronische communicatienetwerken en verstrekkers van elektronische communicatiediensten.
    • Er is registratieplicht van internetcommunicatie en internetgebruik. Inhoud mag echter nooit worden opgeslagen, enkel bepaalde metadata.
    • Data-interceptie en netwerkzoeking is voor hen mogelijk via mini-instructies.
    • Sociale media en hun inhoud kunnen gebruikt worden als onderzoeksmiddel, als bron van informatie voor politie en justitie.
    • Geotagging en facerecognition.
    • Publiek toegankelijke delen van het internet kunnen door politie bekeken worden. Zij kunnen er bovendien in participeren.
    • Inkijkoperaties met zoekend rondkijken in private delen van het internet, mits voldoen aan bepaalde randvoorwaarden.
    • Politie en justitie knnen tappen, observeren en infiltreren op het internet en in de sociale media.
  • Echter, er is ook privacywetgeving van toepassing, alsook het recht op anonimiteit. Tevens bestaan er cyber-privéclubs
  • Daarnaast bestaat er internetrecherche in het gerechtelijk onderzoek. Het heeft een aantal (juridisch-technische) wapens gemeenschappelijk met het opsporingsonderzoek.
    • Het kan een heimelijke fase bevatten alsook een openlijke. Bijv. bij het onderscheppen van webmail.
  • Een van de sterke wapens voor justitie is de medewerkingsplicht inzake internetrecherche.
    • Dit geldt voor operatoren, dienstverstrekkers, maar ook voor houders van kennis. (zowel van informaticasysteemkennis als kennis van machinewerking als kennis van diensten om gegevens te versleutelen of te beveiligen)
    • Hierin wordt het voorbeeld gestart van de Yahoo !-zaak nav een proces verbaal op 3 oktober 2007.
    • Secundaire internetverstrekkers hebben minder verplichtingen.
    • Verdachten kunnen niet verplicht worden tot het verstrekken van inlichtingen.

Deel 3 gaat over dataretentie van de ISP’s en IAP’s. Deel 4 gaat over territoriale bevoegdheid in Cyberspace. Daarbij kan het Belgisch gerecht een rechtstreekse vraag stellen aan ISP’s en IAP’s die diensten aanbieden op het Belgisch grondgebied, of een rogatoir onderzoek instellen. De dataretentie is minimaal 6 maanden en maximaal 2 jaar, waarbinnen elk land zijn eigen regels dient te stellen. Zo geldt voor België bij koninklijk besluit een dataretentie van 1 jaar. ISP’s of IAP’s die niet wensen mee te werken met het juridisch onderzoek hebben altijd de vrijheid om hun diensten niet langer aan te bieden op het Belgisch grondgebied.

Manu Steens

Manu works at the Flemish Government in risk management and Business Continuity Management. On this website, he shares his own opinions regarding these and related fields.

Leave a Reply

Your email address will not be published. Required fields are marked *

Recent Posts